Sicherheitslücke im Streaming-Server "Helix" von RealNetworks

21.03.2007
Dem Streaming-Server Helix von RealNetworks kann bei der Verarbeitung manipulierter Pakete ein Puffer überlaufen. Angreifer aus dem Netz können sich dadurch ohne Anmeldung Root-Rechte auf dem Server verschaffen.

Wie Evgeny Legerov vom Sicherheitsunternehmen Gleg Ltd. mitteilt, kann ein Angreifer durch die Lücke Code einschmuggeln und ihn mit administrativen Rechten ausführen. Damit kann er auch die vollständige Kontrolle über den Server übernehmen. Der Fehler betrifft den Helix-Server in Version 11.1.2 für Windows, Solaris und Linux. RealNetworks will mit der neuen Version 11.1.3 Abhilfe schaffen, bietet sie aber noch nicht offiziell auf seiner Website an. Ändert man im Download-Link jedoch die Versionsnummer von 1112 auf 1113, kommt man dennoch an die aktualisierte Fassung. Da Legerov in seiner Sicherheitsmeldung auch Proof-of-Concept-Code mitliefert, sollten Administratoren eines Helix-Servers ihre Installation rasch aktualisieren. (sh)